一種基于頻繁項(xiàng)集挖掘的沙箱知識庫生成方法和裝置

基本信息

申請?zhí)?/td> CN202011535297.3 申請日 -
公開(公告)號 CN112257062B 公開(公告)日 2021-04-16
申請公布號 CN112257062B 申請公布日 2021-04-16
分類號 G06F21/53(2013.01)I;G06F21/56(2013.01)I 分類 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 曲武 申請(專利權(quán))人 北京金睛云華科技有限公司
代理機(jī)構(gòu) 沈陽友和欣知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 代理人 楊群;郭悅
地址 100088北京市海淀區(qū)北三環(huán)中路44號58號1層21號
法律狀態(tài) -

摘要

摘要 本發(fā)明提供了一種基于頻繁項(xiàng)集挖掘的沙箱知識庫生成方法和裝置,方法包括:獲取樣本數(shù)據(jù)集并進(jìn)行標(biāo)注;利用沙箱對樣本的主機(jī)行為和網(wǎng)絡(luò)行為進(jìn)行監(jiān)控,利用樣本指令嵌入算法對樣本行為文件進(jìn)行預(yù)處理并生成樣本指令片段嵌入集合;利用多種算法獲取樣本家族的關(guān)聯(lián)規(guī)則集合;對樣本家族的關(guān)聯(lián)規(guī)則集合進(jìn)行分解,過濾樣本合法的頻繁行為模式,對剩下的頻繁行為模式進(jìn)行惡意樣本家族標(biāo)注,通過嵌入向量映射獲取可讀的惡意行為模式描述,生成惡意樣本沙箱的行為知識庫。本發(fā)明可以大規(guī)模分析樣本的行為數(shù)據(jù),提高了沙箱行為知識庫的質(zhì)量和生成效率,允許沙箱自動(dòng)識別具有類似行為的新型惡意樣本,有效檢測采用混淆和其他多態(tài)變形技術(shù)的APT樣本。??